SSL/TLS証明書の有効期間が47日に短縮、2026年から段階的に実施

SSL/TLS証明書の最大有効期間は改訂を繰り返し徐々に短くなっている。現在の最大有効期間は398日だが、Appleが漏洩した場合の影響を軽減するためとして47日への短縮を提案(SC-081v3)し、関係機関およびコンシューマーの賛成多数で承認されたことがわかった。

• 

  SSL Certificate Validity Reduced to 47 Days After Apple Proposal

提案(SC-081v3)の概要と投票結果

Appleが提出した動議の内容や、投票の詳細は「Voting Period Begins: SC-081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods」から確認することができる。

提案(SC-081v3)の概要は次のとおり。

• 検証データ(ドメイン/IPおよびセクション3.2のその他すべて)のデータ再利用可能期間を定めるセクション4.2.1を次のとおり改訂する

• SAN以外の検証データの再利用を825日から最終的に398日に短縮

• SAN検証データの再利用を398日から最終的に10日に短縮

• パブリックTLS証明書の最大有効期間を定めるセクション6.3.2を今後数年間で次のとおり改訂する

• 最大有効期間を398日から最終的に47日に短縮

• これら変更を2026年3月から2029年3月までに実施することを提案する

投票は4月4日から11日までの1週間で実施された。結果は「Initial Vote Results on Ballot SC-081v3: Introduce Schedule of Reducing Validity and Data Reuse Periods」から確認することができる。

証明書発行機関からはAmazon、DigiCert、Japan Registry Servicesなど30機関が投票に参加し、賛成25、反対0、棄権5となった。証明書のコンシューマーとしてはApple、Google、Microsoft、Mozillaが参加し、全員が賛成に投じた。合計は賛成29、反対0、棄権5となり、賛成多数で可決された。

今後のスケジュール

TLSサーバ証明書の新しいベースライン要件「servercert/docs/BR.md at Reduce-Max-Validity-and-Data-Reuse-Periods-Over-Time · cabforum/servercert · GitHub」によると、証明書の最大有効期間は次のスケジュールに従い、段階的に短縮予定とされる。

• 2026年3月14日まで398日を維持
• 2026年3月15日から200日に短縮
• 2027年3月15日から100日に短縮
• 2029年3月15日から47日に短縮

一部からは懸念の声も

Cybersecurity Newsによると、一部のシステム管理者は運用負担の増加の矛先が自分たちに向けられることになるとして、Appleの提案に懸念を表明したという。SSL/TLS証明書の完全な自動更新を実現している企業への負担増は軽微と考えられるが、手動での運用を余儀なくされている企業への負担は増大することになる。

しかしながら、提案の本質がリスクの予防的軽減にあり、投票者の中に反対した組織がないことからスケジュールどおり実施されるとみられる。最初の短縮開始まで残り1年を切っている。企業や組織には影響を確認し、運用計画の見直しなど必要な対策を実施することが望まれている。